Threats
Uma vulnerabilidade grave no plugin Advanced Custom Fields: Extended permite a atacantes não autenticados obter privilégios de administrador e assumir o controlo total de sites WordPress
21/01/2026
|
Uma vulnerabilidade crítica identificada no plugin Advanced Custom Fields: Extended colocou mais de 100 mil sites WordPress em risco de comprometimento total. A falha, registada como CVE-2025-14533, afeta versões até à 0.9.2.1 e apresenta uma pontuação CVSS de 9,8, refletindo o seu elevado impacto. Se não for corrigida, a vulnerabilidade permite que um atacante não autenticado obtenha privilégios de administrador, explorando a forma como o plugin gere a criação de utilizadores através de formulários personalizados. O problema está relacionado com a validação insuficiente dos perfis de utilizador (como administrador, editor ou subscritor). O plugin permite que os administradores criem formulários de registo ou de edição de perfil, recolhendo informações como nome de utilizador, email, palavra-passe e papel do utilizador. Embora a interface permita limitar os papéis disponíveis - por exemplo, a “subscritor” - , essa restrição não é aplicada no backend nas versões vulneráveis. De acordo com a análise da Wordfence, a ação insert_user do plugin não impõe limites eficazes aos perfis atribuídos quando um campo de perfil de utilizador está mapeado no formulário. Assim, um atacante pode submeter um pedido HTTP manipulado e definir diretamente o papel como administrator, mesmo que essa opção não esteja visível no formulário. Uma vez processado o pedido, o WordPress cria a conta com privilégios totais. A partir desse momento, o atacante pode instalar plugins ou temas maliciosos, introduzir backdoors, alterar conteúdos, redirecionar visitantes para sites maliciosos ou criar contas adicionais para garantir persistência. Dada a ampla base instalada do plugin e a facilidade de exploração sempre que um formulário vulnerável esteja exposto publicamente, o impacto é considerado elevado, sobretudo para sites que permitem registos abertos. O fornecedor lançou uma correção na versão 0.9.2.2, e alguns fabricantes de soluções de segurança já disponibilizaram regras para bloquear tentativas de exploração ao nível da firewall. No entanto, sites que não tenham sido atualizados permanecem vulneráveis, sendo alvos atrativos para atacantes que procuram formulários de registo mal configurados. A recomendação passa por atualizar imediatamente o plugin, rever formulários de criação de utilizadores expostos ao público e reforçar mecanismos adicionais de proteção, como WAF e monitorização de atividades administrativas suspeitas. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
